Varios expertos analizan para Confilegal las conclusiones del informe de PwC 'Digital Trust Survey 2021'.
La ciberseguridad gana posiciones en la economía: Una de cada dos empresas la considera estratégica para su negocio
|
13/11/2020 06:47
|
Actualizado: 20/4/2022 11:51
|
El informe de PwC ‘Digital Trust Survey 2021′, en el que se ha preguntado a 3.249 directivos de negocio y tecnología de todo el mundo por el uso que hacen de la ciberseguridad, da una visión detallada de la importancia estratégica de esta actividad en las compañías.
Las empresas han acelerado sus iniciativas digitales e impulsado las inversiones en ciberseguridad. Un 55% de esos dirigentes va a aumentar su presupuesto en ciberseguridad y otro 51% va a incrementar sus equipos.
Al mismo tiempo un 50% afirma que la ciberseguridad y la privacidad están presentes en cada decisión o plan de negocio y un 72% espera fortalecer el área de ciberseguridad y reducir costes en la compañía.
Expertos como Vicente Moret, of counsel de Andersen; Francisco Pérez Bes, socio de derecho digital de Ecix, y Moisés Barrio, letrado del Consejo de Estado, profesor, árbitro y abogado, analizan las conclusiones de este informe y el porqué de la ubicación de las estrategias de ciberseguridad en el centro de las empresas.
Los CISO (Chief Information Security Officer) se encuentran en el centro de todas las decisiones de negocio y su visión estratégica, en el corto y medio plazo, se hace ahora más necesaria que nunca.
La ciberseguridad ha venido para quedarse
Vicente Moret, of counsel de Andersen, tiene claro que «la ciberseguridad ha venido para quedarse y que una de cada dos empresas trabaje a nivel digital no nos debe sorprender a nadie”.
Para este experto, personas, tecnología, procesos y protocolos están íntimamente ligado en estas inversiones que hacen las empresas en ciberseguridad. “Son tres capas muy ligadas en esta actividad. El informe de Pwc pone énfasis en las personas y su papel en este escenario. La tecnología es relevante, pero más aún son las personas porque pueden ser el punto por el que recibamos ese ciberataque”.
Desde estas perspectivas «las empresas deben reforzar la formación a sus profesionales y crear marcos estables dentro de la organización interna. De hecho, hay un elemento nuevo. Un documento importante de la Comisión Europea que es el borrador de Reglamento que se va a aprobar sobre resiliencia en entidades financieras llamado Dora. En ese escenario se habla de un marco normativo para entidades financieras puede ser patrón común para otros sectores estratégicos que tienen que ver con ciberseguridad”.
En dicho documento, explica, “también se habla del elemento humano como clave para poder desarrollar unas políticas de ciberseguridad adecuadas. Lo hace desde el punto de vista de la gobernanza interna de la ciberseguridad de las organizaciones. No solo es el presupuesto sino que la organización debe estar preparado en este nuevo entorno propio”.
Vicente Moret, of counsel de Andersen.
Moret también indica que “Dora lo que hace, en una primera parte del documento, es dar ideas de como gestionar esa organización interna de las empresas y habla de la responsabilidad de los Consejos de Administración como responsable final de la ciberseguridad”.
Otra cuestión que para este experto es importante es la centralización de la figura del CISO, responsable de ciberseguridad en las organizaciones. “Se convierte en un elemento clave en este marco regulatorio. Ahí se abre el debate si debe ser un profesional interno o externo. Si es una organización grande o tiene infraestructuras críticas, es mejor que la empresa tenga su propio CISO y esté en coordinación con el delegado de protección de datos de la firma. Ambos se reparten el área tecnológica y legal de la compañía”.
Este experto también adelanta que en el borrador de reglamento español que está pendiente de aprobar para la trasposición de la directiva NIS, “el CISO se convierte en alguien tan relevante que puede hacer auditorías internas de la organización, que se recomienda que esté separado del sector IT de la propia empresa y se dice en el artículo 7 que tendrá comunicación directa con el Consejo de Administración. Es un cambio importante en cuanto a la gobernanza de ciberseguridad de las empresas”.
En cuanto a los procesos, Moret avanza que la propia Dora “lo que hace con el sector financiero es marcar tres prioridades, en primer lugar, crear procedimientos de notificación de ciberincidentes claros. Otra cuestión que señala es el control de los terceros suministradores, muy relacionado con la nube. Se trata de negociar bien esos contratos y que la entidad financiera pueda incluir condiciones exigibles desde el propio Reglamento europeo”.
De esta regulación, “otro elemento importante es la obligación de que las empresas realicen auditorías y test de penetración cada cierto tiempo con empresas certificadas. Se trata de testar con empresas de confianza que debilidades tiene la empresa. Al final, es previsible que una entidad como ENISA (Agencia Europea de Ciberseguridad) desarrolle unos estándares que permita certificar empresas y desarrollar estándares normativos similares a las normas ISO».
Vicente Moret considera que al final las empresas dirigen sus inversiones en ciberseguridad en las tres capas antes citadas: personas, procedimientos y tecnologías. “El papel de la formación es importante. En el borrador de Dora habrá un miembro del Consejo de Administración que se especialice en estos temas de ciberseguridad. Se exige que ese miembro tenga la formación adecuada para gestionar los temas clave con el CISO a nivel de empresa. Habrá que ver como queda el borrador final”.
La ciberseguridad, estratégica para las empresas
Por su parte, Francisco Pérez, socio de derecho digital de Ecix, advierte que “el informe aporta información muy valiosa, por cuanto los datos que arroja nos permiten hacernos una idea de cuál está siendo la evolución de la percepción de la ciberseguridad en las empresas, y en sus directivos, lo que ayuda a identificar cuáles van a ser las tendencias a futuro en relación con esta materia tan compleja”.
A su juicio, “uno de los datos que más llama la atención es que se destaque tanto el aspecto relacionado con la inversión y con la previsión de partidas presupuestarias dedicadas a este asunto. Posiblemente esto se deba a que los aspectos relacionados con la inversión siempre tienen que ver con la adquisición y modernización de tecnología. Este punto afecta más a grandes empresas, especialmente aquellas que, por motivos de su calificación como de operadores de servicios esenciales o de infraestructuras críticas, requieran de una actualización de recursos tecnológicos más intensa”.
Sin embargo, «la mayoría de las organizaciones no siempre necesitan aumentar sus presupuestos, sino -quizás- equilibrarlos, pues todavía no han llevado a cabo la transformación interna necesaria previa a cualquier inversión en tecnología de ciberseguridad”, aclara.
Francisco Pérez Bes, socio de derecho digital de Ecix.
“De ahí la referencia del informe a la necesidad de rediseñar la estrategia de ciberseguridad de la empresa, elemento este que necesita ser actualizado mucho más a menudo de lo que creemos, a la vista de la rápida evolución de los ciberriesgos y otras amenazas que ponen en peligro al negocio”, comenta.
En opinión de este experto lo ideal sería que “esa inversión se dirigiera a mejorar los aspectos organizativos relacionados con el desarrollo de una verdadera cultura empresarial de seguridad, al objeto de diseñar una estrategia de concienciación y formación para los empleados, que permitiera acreditar el aprovechamiento de las acciones que se lleven a cabo, y poder demostrar que funciona y que es una medida eficaz”.
Cree que “gracias a ello mejorarán las capacidades preventivas y de respuesta ante cualquier incidente de seguridad, pero, sobre todo, se podrá gestionar de una manera más eficaz cualquier sanción iniciada por las autoridades competentes, así como la responsabilidad de los administradores”.
Para Pérez, “la tendencia es clara y las empresas que comprenden este fenómeno gestionan su ciberseguridad como un riesgo no financiero más. De gran importancia, eso es verdad, pero a efectos empresariales no es tan importante que sea, o no, un tema tecnológicamente complejo, sino que lo relevante es el impacto que ese riesgo puede tener en el negocio”.
Desde su punto de vista, “por eso el foco no debe ponerse exclusivamente en la seguridad cibernética, sino que debe trabajarse internamente en encontrar un punto de equilibrio entre la seguridad de la información y la ciberresiliencia de la compañía”.
En ese contexto, considera que “no debemos poner el foco únicamente en el cibercrimen, sino que debemos abordar este asunto desde una perspectiva amplia de lo que es la seguridad de la información, y no solo limitarnos a protección de datos personales o tecnología”.
Dentro de esta visión, Francisco Pérez cree que “los ciberseguros juegan un papel fundamental. Las compañías aseguradoras tienen un importante reto por delante, para poder ser capaces de adaptar sus coberturas a las nuevas amenazas que van surgiendo y evolucionando, pues cada vez será más importante que las empresas dispongan de pólizas adecuadas a los riesgos cambiantes que les acechan y eficaces en cuanto a su cobertura”.
En lo que respecta a las referencias al capital humano, indica que «uno de los principales retos en esta materia es, por un lado, encontrar buenos profesionales, bien formados en ciberseguridad y con experiencia en el sector privado. Al mismo tiempo esos perfiles técnicos puedan encajar bien en un equipo que se integra en una organización grande y compleja. En este sentido trabajar a nivel formativo es fundamental en cada organización”.
Ciberseguridad siempre unida al negocio
Moisés Barrio, letrado del Consejo de Estado, profesor de Derecho digital y director del Diploma de Alta Especialización en LegalTech y transformación digital de la Universidad Complutense de Madrid, cree que durante décadas un telón de acero ha separado la ciberseguridad del negocio.
Desde su punto de vista, la mayoría de los miembros de los consejos de administración y los altos ejecutivos no estaban bien familiarizados con la ciberseguridad ni comprendían las repercusiones que tenía en el negocio.
«Hoy la ciberseguridad debe formar parte del núcleo del negocio. Estos porcentajes son una buena noticia», pero «todavía hay mucho margen de mejora».
Para este jurista, en la actual situación de pandemia de COVID-19 los cibercriminales se han adaptado rápidamente al nuevo contexto vulnerable del teletrabajo, aprovechando las conexiones a Internet de los domicilios particulares para acceder a datos y sistemas de las organizaciones y empresas.
Moisés Barrio , letrado del Consejo de Estado, profesor, árbitro y abogado.
Los ciberdelincuentes han personalizado los vectores de ataque con métodos avanzados de captura de contraseñas, ataques de ‘phishing’ muy difíciles de detectar, sofisticados ataques de ingeniería social y técnicas muy evolucionadas de ocultación de ‘malware’, etc.
Barrio considera que en la medida en que estas técnicas se vayan combinando cada vez más con inteligencia artificial (IA), los ciberataques serán mucho más difíciles de detectar y tendrán un mayor éxito, como han advertido diversos actores.
De hecho, los cibercriminales están empleando redes generativas antagónicas (‘generative adversarial networks’, GAN por sus siglas en inglés) para imitar patrones de uso y tráfico normales con el objetivo de enmascarar y distraer la atención para perpetrar un ciberdelito.
A nivel jurídico, «es imprescindible incentivar el cumplimiento de las certificaciones en ciberseguridad de manera legal. También en esta línea, Alemania ha sugerido promulgar normas de ciberseguridad más estrictas».
A su juicio, los ordenadores portátiles, los ‘smartphones’ y otros dispositivos conectados en Europa deberían estar sujetos a nuevas normas de ciberseguridad durante todo el ciclo de vida de los productos.
Noticias Relacionadas:
